2024年1月24日にIPA（情報処理推進機構）から「情報セキュリティ10大脅威」が公表されました。

「情報セキュリティ10大脅威」は、情報セキュリティ専門家による選考会に基づいて選出された脅威をランキング形式で示したもので、個人と組織の観点から脅威を分析し、それぞれの立場での対策を考える上で重要な指標となります。

2024年のランキングでは、個人向け脅威は五十音順で掲載されていますが、これは脅威の危険度に差がなく、全ての脅威に等しく対策を講じる必要があることを示しています。

一方、組織向け脅威は順位付けされており、各脅威の社会的影響度を考慮してランキングされています。

当コラムでは、公表された「情報セキュリティ10大脅威」を組織・個人それぞれにまずご紹介し、その後ピックアップされた脅威ごとにできる対策をまとめています。

組織と個人が共通して取るべき対策について考えてみましょう。

 

組織と個人、それぞれのセキュリティ10大脅威ランキング

◆「組織」向け脅威

1位：ランサムウェアによる被害

2位：サプライチェーンの弱点を悪用した攻撃

3位：内部不正による情報漏えい等の被害

4位：標的型攻撃による機密情報の窃取

5位：修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

6位：不注意による情報漏えい等の被害

7位：脆弱性対策情報の公開に伴う悪用増加

8位：ビジネスメール詐欺による金銭被害

9位：テレワーク等のニューノーマルな働き方を狙った攻撃

10位：犯罪のビジネス化（アンダーグラウンドサービス）

 

◆「個人」向け脅威（五十音順）

※（）内は2016年以降の10大脅威での取り扱いについて記載

・インターネット上のサービスからの個人情報の窃取（5年連続8回目）

・インターネット上のサービスへの不正ログイン（9年連続9回目）

・クレジットカード情報の不正利用（9年連続9回目）

・スマホ決済の不正利用（5年連続5回目）

・偽警告によるインターネット詐欺（5年連続5回目）

・ネット上の誹謗・中傷・デマ（9年連続9回目）

・フィッシングによる個人情報等の詐取（6年連続6回目）

・不正アプリによるスマートフォン利用者への被害（9年連続9回目）

・メールやSMS等を使った脅迫・詐欺の手口による金銭要求（6年連続6回目）

・ワンクリック請求等の不当請求による金銭被害（2年連続4回目）

 

組織向け脅威の中で特に顕著なものは、ランサムウェアによる被害やサプライチェーンの弱点を悪用した攻撃などが挙げられます。

これらの脅威は社会的な影響が大きく、組織が対処すべき重要な課題となっています。

一方、個人向け脅威では、インターネット上のサービスからの個人情報の窃取や不正ログイン、クレジットカード情報の不正利用などが継続的に問題となっています。これらの脅威に対しても、個人レベルでの対策が必要です。

次項からは、10大脅威にピックアップされた項目を組織・個人ごとに対策方法をまとめています。

 

企業組織ができる対策方法は？

企業は、セキュリティ10大脅威に対して適切な対策を講じる必要があります。

例えば、ランサムウェアによる被害を防ぐためにはバックアップの定期的な取得やセキュリティソフトの導入が有効です。

また、サプライチェーンの弱点を悪用した攻撃に備えるためには、サプライヤーとの信頼関係の構築やセキュリティポリシーの策定が重要です。

では、ランキングに入っていた脅威10項目ごとにそれぞれ取るべき対策方法をご紹介していきます。

 

「ランサムウェアによる被害」への対策

セキュリティソフトウェアの導入:

コンピュータやネットワークにセキュリティソフトウェアを導入し、最新のウイルス対策やマルウェア対策を行います。定期的なソフトウェアの更新とスキャンを実施しましょう。

バックアップの作成:

データの重要性に応じて定期的なバックアップを作成し、安全な場所に保存します。ランサムウェアに感染しても、バックアップがあればデータを復元できるため、被害を最小限に抑えることができます。

ファイアウォールの設定:

ファイアウォールを適切に設定して、不正なネットワークトラフィックや外部からの不正アクセスをブロックします。セキュリティポリシーを厳密に遵守し、不要なポートやサービスを閉じることも重要です。

フィッシング対策:

ランサムウェアはフィッシング攻撃を通じて侵入することがあります。従業員や利用者に対してフィッシング攻撃の警戒心を高めるための教育や訓練を実施しましょう。不審なリンクや添付ファイルには注意を払います。

ユーザー権限の制限:

ユーザー権限を適切に制限し、必要最低限の権限のみを付与します。特権ユーザーの権限を定期的にレビューし、不要な権限を削除します。

セキュリティポリシーの策定:

セキュリティポリシーを策定し、従業員や利用者に遵守させることでセキュリティ意識を高めます。パスワードの強化、不正アクセスの監視、セキュリティイベントの記録と監視などを行います。

セキュリティ意識の啓発:

ユーザーに対して定期的なセキュリティ教育やトレーニングを実施し、セキュリティ意識を高めます。不審な動作や異常を早期に報告する文化を醸成しましょう。

インシデント対応計画の策定:

ランサムウェアに感染した場合のインシデント対応計画を策定し、迅速かつ適切な対応を行います。復旧作業や被害の調査、被害拡大の防止などを計画的に行います。

 

 

「サプライチェーンの弱点を悪用した攻撃」への対策

サプライチェーンのリスク評価:

サプライチェーンに関連するリスクを評価し、重要なサプライヤーとその弱点を特定します。サプライチェーン全体を把握し、潜在的な脆弱性や攻撃経路を把握します。

セキュリティ要件:

サプライヤーとの契約や取引において、セキュリティ要件を明確に定義し、遵守させます。サプライヤーに対してセキュリティポリシーの遵守やセキュリティ対策の実施を求めます。

監視と評価:

サプライヤーのセキュリティ状況を定期的に監視し、評価します。セキュリティアセスメントやペネトレーションテストを実施して、脆弱性や攻撃経路を特定し、改善を促します。

サプライチェーンの可視性とトレーサビリティ:

サプライチェーン全体の可視性を高め、製品やサービスの供給源や流通経路をトレーサビリティする仕組みを構築します。不正な変更や侵入を早期に検知し、対応します。

インシデント対応と連携:

サプライチェーンに関連するセキュリティインシデントが発生した場合、迅速かつ適切な対応を行います。サプライヤーとの連携や協力体制を構築し、被害を最小限に抑えます。

サプライチェーンの信頼性向上:

サプライチェーン全体の信頼性を向上させるために、信頼できるサプライヤーとのパートナーシップを強化します。長期的な関係構築と情報共有を通じて、サプライチェーンのセキュリティを強化します。

 

「内部不正による情報漏えい等の被害」への対策

アクセス制御の強化:

データやシステムへのアクセスを厳密に制御し、最小限の権限でのみアクセスを許可します。必要最低限の権限原則を適用し、データへの不正なアクセスを防止します。

監視と検知:

ネットワークやシステムの監視を行い、不審なアクティビティやパターンを検知します。異常なアクセスやデータの移動、不正な操作を早期に発見し、対応します。

ログ管理:

アクセスログやイベントログなどの記録を適切に管理し、不正行為のトレースや調査を行います。ログの監視と分析を通じて、不審な活動や異常を検知します。

社内教育と意識向上:

社内の従業員に対してセキュリティ意識向上の教育やトレーニングを行います。情報セキュリティポリシーの周知や不正行為のリスクについての認識を高め、適切な行動を促します。

アクセスログの監査と評価:

定期的にアクセスログを監査し、不正なアクセスやパターンを評価します。アクセスログのレビューと分析を通じて、内部不正の早期発見と対応を行います。

情報セキュリティポリシーの強化:

情報セキュリティポリシーを策定し、適切なセキュリティコントロールを実施します。社内規定や手順の整備、セキュリティ意識の浸透を通じて、内部不正を防止します。

内部監査とコンプライアンス:

内部監査を実施し、セキュリティポリシーの遵守やコンプライアンスを確認します。違反や問題点の特定、改善策の提案を行い、内部のセキュリティレベルを維持・向上させます。

 

「標的型攻撃による機密情報の窃取」への対策

ファイアウォールとセキュリティゲートウェイの強化:

ファイアウォールやセキュリティゲートウェイを使用して、外部からの不正アクセスやマルウェアの侵入を防止します。最新のファイアウォール技術や脅威インテリジェンスを活用し、攻撃をブロックします。

メールフィルタリングとスパム対策:

メールフィルタリングソリューションを導入し、スパムメールやフィッシングメールなどの不正なメールを遮断します。従業員に対してもメールの注意喚起や訓練を行い、不審なリンクや添付ファイルを開かないよう促します。

二要素認証とアクセス制御:

重要なシステムやデータへのアクセスには二要素認証を導入し、不正アクセスを防止します。また、アクセス権限の厳格な管理と必要最低限の権限原則を適用して、機密情報への不正なアクセスを防ぎます。

エンドポイントセキュリティの強化:

エンドポイントデバイス（PC、スマートフォン、タブレットなど）に対してセキュリティソフトウェアやエンドポイントマネジメントツールを導入し、マルウェアや不正プログラムからの保護を強化します。

セキュリティインシデントの監視と検知:

ネットワークやシステムの監視を行い、不審なアクティビティやパターンを検知します。標的型攻撃の兆候や異常な通信を早期に発見し、適切な対応を行います。

セキュリティ意識向上とトレーニング:

従業員に対してセキュリティ意識向上のトレーニングを実施し、標的型攻撃やフィッシング詐欺などの攻撃手法に対する警戒心を高めます。定期的な訓練やシミュレーションを通じて、安全な行動を習慣化します。

バックアップと復旧計画の策定:

データの定期的なバックアップを行い、機密情報の損失や破壊に備えます。また、復旧計画を策定し、攻撃や災害時に迅速なデータ復旧とシステムの復旧を実施します。

 

「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」への対策

パッチ管理とアップデートの迅速化:

システムやソフトウェアのパッチ管理を徹底し、セキュリティ修正プログラムが公開されたら速やかに適用します。特にゼロデイ脆弱性が発見された場合は、ベンダーからの修正プログラムがリリースされるまでの間に一時的な対策やワークアラウンドを実施します。

脆弱性スキャンと侵入テスト:

システムやネットワークに対して定期的な脆弱性スキャンや侵入テストを実施し、未知の脆弱性や攻撃手法に対する脆弱性を特定します。早期に脆弱性を発見し、適切な対策を講じることが重要です。

セキュリティ情報のモニタリング:

セキュリティ情報の最新動向をモニタリングし、ゼロデイ攻撃や新たな脅威に対する情報を収集します。セキュリティベンダーや専門家の情報源を活用し、早期に対策を立てるための情報を取得します。

サンドボックス環境の利用:

サンドボックス環境を活用して、未知のファイルやプログラムを安全な環境で実行し、悪意のある動作や脆弱性の影響を評価します。ゼロデイ攻撃による被害を最小限に抑えるために、新しいプログラムやコードを厳格に検証します。

セキュリティ意識の向上とトレーニング:

従業員に対してセキュリティ意識向上のトレーニングを実施し、フィッシング詐欺やマルウェア感染などのリスクを理解させます。不審なリンクや添付ファイルに注意を促し、不正なアクセスを防止するための対策を教育します。

インシデント対応と復旧計画:

インシデント対応チームを設置し、ゼロデイ攻撃や新たな脅威に対する迅速な対応体制を整えます。また、データバックアップと復旧計画を策定し、被害発生時のデータ復旧とシステムの復旧を迅速に行います。

 

 

「不注意による情報漏えい等の被害」への対策

データの分類とアクセス制御:

データを重要度や機密度に応じて分類し、適切なアクセス権限を設定します。必要最小限の人物だけが必要なデータにアクセスできるように制御します。また、社内外でのデータ共有や転送時には暗号化を利用して情報漏えいを防止します。

社内のセキュリティポリシーと教育:

社内でのセキュリティポリシーを策定し、従業員に遵守させるための教育・トレーニングを実施します。セキュリティ意識の向上やデータ保護に対する理解を促進し、不注意な行動による情報漏えいを防止します。

モバイルデバイス管理:

モバイルデバイス（スマートフォン、タブレットなど）の利用を制御し、適切なセキュリティポリシーを適用します。デバイスの紛失や盗難に備え、リモートワイプやデバイスの暗号化などの対策を実施します。

セキュリティソフトウェアと更新:

ウイルス対策ソフトやファイアウォールなどのセキュリティソフトウェアを導入し、常に最新の状態に保ちます。定期的なソフトウェアの更新とセキュリティパッチの適用を行い、悪意のある攻撃や情報漏えいを防止します。

インシデント対応と監視:

インシデント対応チームを設置し、不注意による情報漏えいやセキュリティインシデントに迅速に対応します。また、セキュリティイベントや不正アクセスの監視を行い、異常なアクティビティを検知して対処します。

クラウドサービスの適切な管理:

クラウドサービスを利用する際には、信頼性の高いプロバイダーを選択し、適切なセキュリティ対策を導入します。データの暗号化やアクセス制御などを適切に設定し、クラウド上での情報漏えいを防止します。

 

 

「脆弱性対策情報の公開に伴う悪用増加」への対策

パッチ管理と更新:

システムやソフトウェアの脆弱性を修正するためのパッチを迅速に適用し、システムを最新の状態に保ちます。定期的なパッチ適用とシステムの更新を行い、既知の脆弱性に対する攻撃を防止します。

脆弱性スキャンと評価:

定期的にシステムやアプリケーションの脆弱性スキャンを実施し、潜在的な脆弱性を特定します。スキャン結果を評価し、重要度の高い脆弱性に対して優先的に対策を行います。

セキュリティ情報の監視と対応:

セキュリティ情報や脆弱性情報を定期的に監視し、新たな脅威や攻撃手法に対応します。セキュリティベンダーやセキュリティコミュニティからの情報を積極的に収集し、対策を実施します。

アクセス制御とセキュリティポリシー:

システムやネットワークへのアクセス制御を強化し、不正なアクセスを防止します。セキュリティポリシーを策定し、適切なアクセス権限や認証機構を導入することで、脆弱性の悪用を防止します。

セキュリティ意識の向上と教育:

従業員や関係者に対してセキュリティ意識の向上を図り、セキュリティに関するトレーニングや教育を実施します。社内でのセキュリティポリシーの遵守や適切な対応を促進し、脆弱性の悪用を防止します。

インシデント対応と対策強化:

セキュリティインシデントが発生した場合には、迅速かつ適切な対応を行います。インシデントの分析と原因究明を行い、再発防止策を実施することで、脆弱性の悪用を防止します。

 

「ビジネスメール詐欺による金銭被害」への対策

メール認証技術の活用:

SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail)、DMARC (Domain-based Message Authentication, Reporting, and Conformance)などのメール認証技術を活用し、メールの送信元を正当なものとして認証します。これにより、偽装メールの送信を防止し、受信者に信頼性の高いメールを提供します。

セキュリティ意識の向上とトレーニング:

従業員や関係者に対してビジネスメール詐欺の手口や警戒すべきポイントについてトレーニングや教育を行います。特に、支払い手続きや機密情報の取り扱いに関する注意喚起を行い、不審なメールに対する警戒心を高めます。

二要素認証の導入:

支払いや重要な取引に関するメールには、二要素認証を導入します。メール内の支払い指示や取引内容の確認を行う際に、別の認証手段（例: SMSコード、ワンタイムパスワード）を要求することで、不正な支払いや取引を防止します。

外部連絡先の確認と検証:

重要な取引や支払い手続きを行う場合には、メールで送られてきた連絡先や指示内容を必ず確認し、正規の連絡先かどうかを検証します。電話や直接の面談などを通じて確認を行い、不審なメールによる詐欺を防止します。

セキュリティポリシーの策定と遵守:

セキュリティポリシーを策定し、ビジネスメールの取り扱いや情報の共有に関するルールを定めます。従業員や関係者に対してポリシーの遵守を徹底し、セキュリティの強化を図ります。

インシデント対応の体制構築:

ビジネスメール詐欺などのインシデントが発生した場合に備え、適切な対応体制を構築します。インシデントの早期発見と適切な対処を行うことで、被害を最小限に抑えます。

 

 

「テレワーク等のニューノーマルな働き方を狙った攻撃」への対策

VPNの利用:

テレワークを行う際には、安全なVPN（Virtual Private Network）を利用して通信を暗号化し、外部からの不正アクセスや盗聴を防止します。従業員に適切なVPNの設定方法や利用方法について教育し、セキュアな接続を確保します。

ファイアウォールとセキュリティソフトの導入:

テレワーク環境においても、ファイアウォールやセキュリティソフトを適切に設定・導入し、不正なアクセスやマルウェアによる攻撃をブロックします。定期的なソフトウェアの更新と監視を行い、セキュリティレベルを維持します。

セキュリティポリシーとトレーニング:

テレワークにおけるセキュリティポリシーを策定し、従業員に遵守を徹底させます。また、テレワーク時のセキュリティ意識向上のためにトレーニングや教育を実施し、社内のセキュリティ文化を浸透させます。

二要素認証の導入:

テレワーク環境での重要なシステムやアカウントには、二要素認証を導入してセキュリティを強化します。パスワードだけでなく、別の認証手段（例: SMSコード、ワンタイムパスワード）を要求することで、不正アクセスを防止します。

フィッシング対策:

従業員に対してフィッシング攻撃の手口や警戒すべきポイントについてトレーニングや教育を行います。特に、テレワーク時には外部からのメールやリンクに注意を促し、不審なメールに対する警戒心を高めます。

デバイス管理とアクセス制御:

テレワーク環境で使用されるデバイス（PC、スマートフォンなど）の管理を徹底し、不正なアクセスやデータ漏洩を防止します。また、アクセス制御を行い、必要最小限の権限でのみシステムやデータにアクセスできるようにします。

インシデント対応体制の構築:

テレワーク環境におけるセキュリティインシデントに備えて、適切な対応体制を構築します。インシデントの早期発見と適切な対処を行うことで、被害を最小限に抑えます。

 

「犯罪のビジネス化（アンダーグラウンドサービス）」への対策

情報収集と監視:

アンダーグラウンドサービスや犯罪組織の動向を常に監視し、情報収集を行います。これにより、新たな脅威や攻撃手法に早期に対応し、防御策を強化します。

協力関係の構築:

業界や他の組織と協力関係を築き、情報共有や共同対策を行います。情報セキュリティの専門家や法執行機関と連携し、アンダーグラウンドサービスに対する包括的な対策を推進します。

ダークウェブモニタリング:

ダークウェブやアンダーグラウンドフォーラムなどでの活動をモニタリングし、不正取引や犯罪行為の動向を把握します。これにより、犯罪活動の予兆を捉えて防止することが可能です。

法的対応と規制強化:

犯罪のビジネス化に対抗するために、法的な対応と規制の強化が重要です。適切な法律や規制を整備し、犯罪活動を阻止するための法的手段を確立します。また、違法取引やアンダーグラウンドサービスへの厳格な取り締まりを行います。

セキュリティ教育と意識向上:

従業員や関係者に対して、セキュリティ教育や意識向上の取り組みを実施します。不正取引やアンダーグラウンドサービスに関するリスクや注意点を理解し、適切な行動を促します。

サイバーセキュリティ技術の活用:

最新のサイバーセキュリティ技術を活用し、アンダーグラウンドサービスや犯罪組織に対する防御力を強化します。例えば、AI（人工知能）や機械学習を活用したセキュリティ分析や対策の実装などが挙げられます。

 

個人ができる対策方法は？

個人もセキュリティ対策を怠ることはできません。例えば、インターネット上のサービスからの個人情報の窃取を防ぐためには、強固なパスワードの使用や二段階認証の有効活用が必要です。また、不正アプリによる被害を防ぐためには公式アプリのみを利用することやセキュリティソフトの導入が重要です。

セキュリティ意識の効用と適切な対策の実施が重要となることから、続いて10大脅威に個人部門でピックアップされた項目ごとにできる対策方法についてご紹介していきます。

 

「インターネット上のサービスへの不正ログイン」への対策

強固なパスワードの使用:

パスワードは複雑で推測されにくいものを選択しましょう。大文字小文字や数字、記号を組み合わせた複雑なパスワードが推奨されます。

同じパスワードを複数のサービスで使わないようにし、定期的にパスワードを変更する習慣を持ちましょう。

二段階認証の有効活用:

サービスが提供する二段階認証を有効にしておくことで、不正ログインを防ぐことができます。

二段階認証を利用する際には、SMSやアプリを利用するなど、セキュアな方法を選択しましょう。

ログイン履歴の監視:

サービスが提供するログイン履歴を定期的に確認し、不審なログインがないかをチェックすることが重要です。

不審なアクセスの検知:

セキュリティソフトや監視ツールを利用して、不審なアクセスを検知し警告を受ける仕組みを導入することが有効です。

プライバシー設定の確認:

利用するオンラインサービスやSNSのプライバシー設定を確認し、セキュリティを強化するための設定を行いましょう。

 

「クレジットカード情報の不正利用」への対策

クレジットカード情報の安全な取り扱い:

クレジットカード情報は他人に知られないように厳重に保管し、オンライン上や公共の場所で情報を入力する際は注意しましょう。

不要なクレジットカード明細書やレシートは適切に廃棄し、情報漏洩を防止します。

セキュリティコードの利用:

オンラインでのクレジットカード利用時には、セキュリティコード（CVVコードなど）を必要とするサービスを選択しましょう。

セキュリティコードはカード裏面の署名欄近くに記載されている3桁または4桁の数字です。

定期的な明細確認と不正利用の早期発見:

クレジットカードの明細書を定期的に確認し、不正利用や不審な取引があった場合は速やかにカード会社に報告しましょう。

カード会社は不正利用を早期に検知し、被害を最小限に抑えるための対策を行います。

セキュリティソフトの導入:

パソコンやスマートフォンにセキュリティソフトを導入し、クレジットカード情報が盗まれるリスクを低減します。

セキュリティソフトはマルウェアやフィッシング詐欺からの保護に役立ちます。

不審な取引に対する警戒:

クレジットカードを利用する際には、不審な取引や信頼できないサイトからの支払いを避けるようにしましょう。

信頼できるオンラインショップや正規の支払いサービスを利用することで、不正利用のリスクを軽減します。

 

「スマホ決済の不正利用」への対策

デバイスのセキュリティ強化:

スマートフォンやタブレットのセキュリティを強化しましょう。パスコードや指紋認証、顔認証などのロック機能を設定し、不正アクセスを防止します。

セキュリティソフトやアプリを導入し、マルウェアや不正アクセスからデバイスを保護します。

公共Wi-Fiの利用を避ける:

不正なWi-Fiネットワークからの攻撃を避けるため、公共のWi-Fiネットワークを利用する際には注意しましょう。VPN（仮想プライベートネットワーク）を利用することで、セキュリティを強化します。

不審なアプリやリンクの避ける:

スマホに不審なアプリをインストールしたり、不正なリンクを開かないように注意しましょう。信頼できる公式ストアからアプリをダウンロードし、リンクはメールやSMSなどで送られてきたものには注意してクリックしないようにします。

二段階認証の有効活用:

スマホ決済サービスが提供する二段階認証を有効にしておくことで、不正利用を防止します。セキュリティを高めるため、SMSやアプリを利用するなど、適切な方法を選択します。

不審な取引に対する早期対応:

スマホ決済履歴を定期的に確認し、不審な取引や不正アクセスがあった場合は速やかに決済サービス事業者や金融機関に報告しましょう。早期対応で被害を最小限に抑えることができます。

 

「偽警告によるインターネット詐欺」への対策

詐欺的なウェブサイトの回避:

不審なリンクをクリックせず、信頼できるウェブサイトから情報を入手するようにしましょう。特に、急いで行動を求める偽の警告やプロモーションには注意が必要です。

ブラウザのポップアップブロッカーを有効化:

ブラウザのポップアップブロッカー機能を有効にして、詐欺的なポップアップ広告や警告をブロックします。また、ポップアップ広告が表示された場合は即座に閉じましょう。

セキュリティソフトの導入:

インターネットセキュリティソフトを導入し、詐欺的なウェブサイトや不正なポップアップ広告をブロックするようにします。定期的なソフトウェアの更新も重要です。

偽警告に対する警戒心を持つ:

インターネット上で急な警告や異常な動作が表示された場合は、冷静に対処しましょう。公式な情報源から情報を確認し、詐欺の可能性があるかどうかを判断します。

ユーザー教育と意識向上:

ユーザーに対して、偽警告やインターネット詐欺に対する警戒心を高める教育を行います。特に高齢者や初心者のユーザーに対しては、詐欺の手口や対策についての情報提供を行います。

不審な行動を報告する:

偽警告やインターネット詐欺に遭遇した場合は、インターネット詐欺被害相談センターや警察に報告しましょう。被害を最小限に抑えるためにも早急な対応が重要です。

 

 

「ネット上の誹謗・中傷・デマ」への対策

自己情報の適切な管理:

個人がネット上で公開する情報は適切に管理し、プライバシーを守りましょう。特に、SNSやオンラインフォーラムでの個人情報の公開には注意が必要です。

不適切なコンテンツへの対応:

自分や他人が不適切なコンテンツに遭遇した場合は、直ちに報告しましょう。プラットフォームやサービス提供者に通報することで、不適切なコンテンツの削除や対策が行われます。

セキュリティ設定の確認:

SNSやオンラインコミュニティなどのプラットフォームでは、適切なセキュリティ設定を行うことが重要です。プライバシー設定やアクセス制限を適切に設定し、不適切な投稿やコメントを防止します。

ファクトチェックと情報の信頼性確認:

ネット上で情報を受け取った場合は、ファクトチェックを行い情報の信頼性を確認しましょう。デマや誤った情報を拡散せず、正確な情報を共有することが重要です。

ポジティブなコミュニケーションの促進:

ネット上でのコミュニケーションでは、ポジティブな意見や情報の共有を促進しましょう。批判や中傷ではなく、建設的な意見交換や議論を行うことで、ネガティブなコンテンツを減少させます。

オンラインマナーの啓発:

ネット利用者に対して、オンラインマナーの啓発活動を行います。ネット上での適切なコミュニケーションや行動規範を広めることで、ネット上の誹謗や中傷を減らすことができます。

 

「フィッシングによる個人情報等の詐取」への対策

フィッシングサイトを避ける:

受信したメールやSMS、SNSメッセージなどに含まれるリンクをクリックする前に、送信元やリンク先のURLを確認しましょう。不審な点があればリンクをクリックせず、信頼できる公式サイトから直接アクセスすることを心がけましょう。

URLの確認:

フィッシングサイトでは、URLが似せているだけで実際のサイトとは異なることがあります。正規のサイトであるかを確認するために、公式サイトをブックマークしておくと便利です。

メールやメッセージの慎重な確認:

不審なメールやメッセージを受信した場合は、送信元や内容に疑問を抱いたり、不自然な点があれば無視するか削除することが重要です。特に、個人情報やパスワードを求めるメールは疑わしい場合が多いため、慎重に対応しましょう。

セキュリティソフトの利用:

コンピュータやスマートフォンには信頼できるセキュリティソフトをインストールし、定期的なアップデートを行うことで、フィッシング詐欺やマルウェアからの保護を強化します。

パスワードの強化と変更:

フィッシング攻撃ではパスワードを盗み出すことが目的の場合があります。したがって、強力なパスワードを使用し、定期的に変更することでセキュリティを高めましょう。

セキュリティ教育の徹底:

個人や企業では、従業員や利用者に対してフィッシング攻撃の危険性や対策方法についてのセキュリティ教育を行うことが重要です。正しい知識を持つことで、フィッシング詐欺からの被害を防ぐことができます。

 

「不正アプリによるスマートフォン利用者への被害」への対策

公式アプリストアからのダウンロード:

スマートフォンにアプリをインストールする際は、公式のアプリストア（Google Playストア、Apple App Storeなど）からのダウンロードを行いましょう。これにより、信頼性の高いアプリを取得できます。

アプリの評価とレビューの確認:

アプリをダウンロードする前に、そのアプリの評価やレビューを確認することが重要です。多くのポジティブなレビューや高い評価があるアプリは信頼性が高い傾向があります。

アプリの権限を確認する:

アプリをインストールする際には、そのアプリがどのような権限を要求しているかを確認しましょう。不必要な権限を要求している場合や、信頼性の低いアプリであればインストールを控えることが望ましいです。

セキュリティソフトの利用:

スマートフォンには信頼できるセキュリティソフトをインストールし、不正アプリやマルウェアからの保護を強化しましょう。定期的なスキャンやアップデートを行うことも重要です。

リンクや広告に注意する:

メールやSNS、ウェブサイトなどで表示されるリンクや広告には注意が必要です。不審なリンクや広告をクリックせず、信頼できる情報源からの情報を参考にしましょう。

バックアップとリストア:

スマートフォンの重要なデータや設定は定期的にバックアップを取り、万が一不正アプリによる被害を受けた場合でも、データを復元できるようにしておきましょう。

 

「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」への対策

フィッシング対策:

フィッシング詐欺に注意しましょう。メールやSMSで不審なリンクや添付ファイルが含まれている場合は開かず、信頼できる送信者からのものかどうかを確認しましょう。

パスワードの管理:

メールやSMSで送信されたリンクをクリックする際には、パスワードマネージャーを使用して安全なパスワードを生成し、管理することでセキュリティを強化しましょう。

認証システムの利用:

オンラインアカウントや取引サービスを利用する際には、二段階認証や多要素認証を有効にしておくことで、不正アクセスや詐欺からの保護を強化します。

情報の確認:

金銭要求や脅迫的な内容を含むメールやSMSを受信した場合は、送信者の情報を確認し、信頼できるものかどうかを判断しましょう。不審な場合は無視するか、関連する機関に報告することも考えましょう。

セキュリティソフトの利用:

スマートフォンやパソコンには信頼できるセキュリティソフトをインストールし、不正アクセスやマルウェアからの保護を強化しましょう。定期的なスキャンやアップデートを行うことも重要です。

ソーシャルエンジニアリングへの警戒:

不審なメールやSMSに対して、ソーシャルエンジニアリングの手法を用いて個人情報やパスワードを要求する内容が含まれている場合は、そのような詐欺に注意しましょう。

 

 

「ワンクリック請求等の不当請求による金銭被害」への対策

請求内容の確認:

ワンクリック請求や不当な請求が届いた場合は、まず請求内容をしっかりと確認しましょう。不審な請求や誤請求がある場合は、速やかに問い合わせを行います。

契約書や条件の確認:

オンラインサービスやアプリを利用する際には、契約書や利用規約、料金条件などをよく読んで理解しましょう。不当な請求に関する条件や対処方法が記載されていることもあります。

支払い情報の保護:

支払い情報（クレジットカード情報など）は慎重に管理し、不正利用や不当請求から守るためにセキュリティ対策を強化しましょう。安全な決済手段を選択し、不審な支払いを行わないようにします。

不当請求の異議申し立て:

不当請求があった場合は、直ちに請求会社やサービス提供元に異議申し立てを行います。適切な手続きを行うことで、不当請求に対処できる場合があります。

セキュリティ意識の向上:

オンラインサービスやアプリを利用する際には、セキュリティ意識を高めましょう。不審なリンクやメッセージには注意し、信頼できるサービスを利用するようにします。

クレジットカード会社への連絡:

不当請求がクレジットカード経由で行われた場合は、クレジットカード会社に連絡して不正利用の報告や対応を行います。カード会社の保護プログラムを利用することも考えましょう。

 

まとめ

IPAからも指摘されていることですが、「情報セキュリティ10大脅威 2024」内の順位だけにとらわれず、個人や組織が置かれている立場や環境を考慮することが重要です。

個人向けの脅威は順位付けせず、五十音順で掲載されていたのは全ての脅威に等しく対策を講じる必要があることを示しているからです。

例えば、スマホ決済を利用している場合は「スマホ決済の不正利用」への対策が重要ですが、同時にクレジットカード情報の管理も怠らないようにする必要があります。

 

一方、組織向けの脅威は順位付けされていますが、ランクインした脅威だけに焦点を当てるのではなく、過去の「情報セキュリティ10大脅威」に登場していた脅威にも警戒が必要です。

脅威の「攻撃の糸口」は似通っており、基本的なセキュリティ対策が有効となります。

 

情報セキュリティ対策は順位だけでなく、個人や組織が直面する現実的なリスクや脆弱性を踏まえた総合的なアプローチが求められます。

常に基本を意識し、継続的な対策を行うことで、安全な情報環境の実現につながるでしょう。